在 2019 年 7 月发起的一项目的明确的网络攻击活动中，黑客组织入侵了联合国在日内瓦和维也纳办事处的 IT 系统。在事件发生之后联合国并没有立即公开本次攻击事件，甚至没有向员工披露该事件的性质和受影响范围。直到近日，联合国IT部门的高级官员才对外证实遭到了非常复杂的网络攻击，预估已经有 400GB 的数据被泄露。

援引《新人道主义》（The New Humanitarian）报道，联合国日内瓦办事处的 IT 官员似乎在一个月后意识到了该黑客事件，并于 2019 年 8 月向其技术团队发出了警报。

在接受采访时候，他表示：“我们在假设整个域都遭到破坏的情况下还继续工作。到目前为止，攻击者尚未表现出活动迹象，我认为我们已经锁定了他们的位置但目前处于休眠状态。”

在媒体披露的一份联合国机密报告中的，还提到了“数十个联合国服务器”遭到了破坏，包括其人权办公室和人事部门的系统，部分管理员账号，以及“Still counting our casualties”的标题内容。

联合国发言人史蒂芬·杜哈里克（StéphaneDujarric）将事件归类为“严重”，并指出，由于无法确定其确切性质和范围，因此未公开披露该违规行为。

在这种情况下，通常遵循“掩盖文化”，事件没有透露给受影响的员工，他们被要求在泄露后更改密码，唯一的知情方包括内部IT团队和联合国负责人日内瓦办事处和联合国维也纳办事处。

据报道，该攻击使用了一些未知的恶意软件，并利用了 Microsoft SharePoint（CVE-2019-0604）中的一个漏洞，该修补程序已经发布了几个月，但尚未部署。

据说，这些泄露的数据包括人事记录和数千份商业合同的信息，因为黑客获得了网络上的管理员访问权限，最终渗透到该组织在维也纳和日内瓦办事处（包括其高级专员办事处）的40台服务器。

来源： cnBeta.COM

更多资讯

Avast 为出售用户数据道歉 并立即关闭营销分析子公司

近日，Avast 因为收集和转售用户数据一事而被推到了风口浪尖。尽管 Avast 起初的态度很是强硬，辩称“这就是反病毒软件的运作方式”。但在遭受舆论的强烈反弹之后，该公司还是迅速认怂 —— 就此事向用户道歉、并立即关闭了营销分析子公司 Jumpshot 。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/news.html 

微软将在 Edge 浏览器中阻止垃圾软件下载

微软计划阻止用户可能不知情下被安装的无用甚至有害的应用程序通过其Edge浏览器下载。这些应用被称为垃圾软件（crapware）或广告软件（adware），不一定是恶意软件，而可能是工具栏，塞满了烦人的广告或通知或捆绑了加密矿工的代码。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/news.html 

谷歌推广完全开源的 OpenSK 安全密钥实现

FIDO 安全密钥提供了一种简便、防网络钓鱼的双因素身份验证（2FA），该方案改变了线上账户的保护形式，并且受到了越来越多的网站的欢迎。包括谷歌、社交网络、云服务提供商在内的许多科技企业，都在努力践行基于 FIDO 的安全实践。最新消息是，为了继续推动和改善对 FIDO 身份验证器的实施和访问，Google 又隆重介绍了 OpenSK 项目。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/news.html 

微软推出 Xbox Bug 漏洞赏金计划 奖励高达 20000 美元

微软今天宣布推出针对Xbox游戏平台的官方漏洞赏金计划。从今天开始，微软表示将为Xbox Live网络和服务中的漏洞支付500至20000美元。任何人都可以向新的Xbox Bug赏金计划提交漏洞，无论他们是游戏玩家还是训练有素的安全专家。

来源：cnBeta.COM
详情链接： https://www.dbsec.cn/blog/news.html 

（信息来源于网络，安华金和搜集整理）